Gare telematiche: Il caso della piattaforma di e-procurement della Centrale d...
Amministratore di sistema - Principali reati informatici Ver.2013
1. Amministratore di Sistema
AdS
Illustrazione del provvedimento Garante Privacy del 27/11/2008 e dei
principali reati informatici
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
2. Argomenti
• Definizione di AdS
• Compiti e funzioni degli AdS
• Adempimenti da eseguire
• Registrazione degli accessi
• Principali reati informatici
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
3. Definizione di AdS
Codice per la protezione dei dati personali definisce:
Titolare, Responsabile, Incaricato
Manca l'Amministratore di Sistema
Viene definito nel provvedimento del 27/11/2008.
L’intento del Garante è quello di ricomprendere tutti i soggetti che
hanno un'effettiva capacità di azione sulle informazioni
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
4. Definizione di AdS
Figure professionali finalizzate alla gestione e alla manutenzione di un
impianto di elaborazione o di sue componenti.
Altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei
dati:
•amministratori di basi di dati;
•amministratori di reti e di apparati di sicurezza;
•amministratori di sistemi software.
Devono essere ricompresi anche soggetti che non sono preposti ordinariamente
a operazioni che implicano una comprensione del dominio applicativo.
Non rientrano invece nella definizione quei soggetti che solo
occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di
guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software. (FAQ n.1)
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
5. Definizione di AdS
Attività tecniche che comportano il trattamento dei dati personali:
•Salvataggio dei dati (backup/recovery);
•Organizzazione dei flussi di rete;
•Gestione dei supporti di memorizzazione;
•Manutenzione hardware.
In molti casi un'effettiva capacità di azione su informazioni va
considerata a tutti gli effetti alla stregua di un trattamento di dati
personali. Anche quando l'amministratore non consulti "in chiaro" le
informazioni medesime.
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
6. Valutazione del titolare
dei dati
Valutazione delle attribuzioni di funzioni tecniche propriamente
corrispondenti o assimilabili a quelle di amministratore di sistema,
laddove queste siano esercitate in un contesto che renda ad essi
tecnicamente possibile l'accesso, anche fortuito, a dati personali.
Responsabilità del titolare dei dati
In caso di incauta o inidonea designazione degli AdS, abbiamo delle
responsabilità di ordine penale e civile (artt. 15 e 169 del Codice).
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
7. Adempimenti da adottare
1. Valutazione delle caratteristiche soggettive
2. Designazioni individuali
3. Elenco degli amministratori di sistema
4. Verifica delle attività
5. Registrazione degli accessi
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
8. 1. Valutazione delle caratteristiche
soggettive
- Conoscenza della normativa vigente
- Conoscenza delle best practices di riferimento in materia di gestione
“sicura” dei sistemi informatici
- Consapevolezza relativamente ai rischi di sicurezza derivanti da
errori/violazioni nell’ambito della gestione dei sistemi
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
9. Applicazione dell’art. 2104 c.c.
«Il prestatore di lavoro deve usare la diligenza richiesta dalla natura della
prestazione dovuta, dall'interesse dell'impresa e da quello superiore della
produzione nazionale. Deve inoltre osservare le disposizioni per l'esecuzione e per la
disciplina del lavoro impartite dall'imprenditore e dai collaboratori di questo dai
quali gerarchicamente dipende.»
La violazione dell'obbligo di diligenza e dell'obbligo di osservanza comporta
l'applicazione di misure disciplinari art. 2106 c.c. e l'obbligo di risarcire i danni
subordinato all'esistenza della colpa lieve art. 1229 c.c., e può dar luogo, in casi
estremi, al licenziamento (es.: se il lavoratore costantemente, violando istruzioni
impartitegli, reca danno all'attività produttiva).
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
10. 2. Designazioni individuali
- Specifico atto di per ogni AdS
- Elencazione analitica degli ambiti di operatività consentiti in base al
profilo di autorizzazione assegnato
Separazione della gestione IT in ambiti di operatività
Definizione di profili di autorizzazione
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
11. 3. Elenco degli amministratori di
sistema
Redazione di un documento interno:
- Determinazione dei sistemi che trattano dati dei lavoratori
- Aggiornamento dell’elenco degli amministratori
-“Conoscibilità” degli amministratori che operano su sistemi che
trattano dati dei lavoratori
Servizi in outsourcing
Acquisizione degli identificativi degli AdS che operano nell’ambito di
servizi affidati in outsourcing
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
12. 4. Verifica delle attività - Audit
Almeno cadenza annuale i titolari o i responsabili del trattamento
devono verificare le attività degli AdS.
La rispondenza alle misure organizzative, tecniche e di sicurezza
rispetto ai trattamenti dei dati personali previste dalle norme vigenti.
Non deve essere un controllo sulle attività professionali vietato
dall’art. 4 L. n. 300/1970
Adempimenti:
Redazione di un verbale di controllo.
Redazione di regole di condotta (Linee guida del Garante per posta elettronica e
internet Del. n. 13 del 1° marzo 2007)
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
13. 5. Registrazione degli accessi
Adozione di sistemi idonei alla registrazione degli accessi logici
(autenticazione informatica) ai sistemi di elaborazione e agli archivi
elettronici da parte degli amministratori di sistema.
Le registrazioni (access log) devono avere caratteristiche:
•Completezza;
•Inalterabilità;
•Possibilità di verifica della loro integrità.
Le registrazioni devono comprendere i riferimenti temporali e la
descrizione dell'evento che le ha generate e devono essere
conservate per un congruo periodo, non inferiore a sei mesi.
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
14. 5. Registrazione degli accessi
Faq del Garante pubblicate il 25 Maggio del 2010, in merito all’applicazione pratica
delle misure da adottare, chiarendo in particolare che:
• Non è necessario tracciare tutto quello che fa l’amministratore, ma solo gli eventi
di Logon, Logoff e tentativi di accesso. (FAQN° 22)
• Bisogna tenere traccia degli accessi sui server, sui client (FAQ N° 4 ) ed anche sui
Database (FAQ N°19)
• Non è necessario tracciare gli accessi degli amministratori agli applicativi (FAQ
N°22)
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
15. Reati penali
Accesso abusivo a sistema informatico o telematico (art. 615
ter)
Frode informatica (art. 640 ter)
Danneggiamento di informazioni, dati e programmi informatici
(artt. 635 bis e ter)
Danneggiamento di sistemi informatici e telematici (artt. 635
quatere quinques) Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
16. Art. 615-ter
Accesso abusivo ad un sistema informatico o
telematico.
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure
di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di
escluderlo, è punito con la reclusione fino a 3 anni.
Elemento fondamentale è l’impiego di misure di sicurezza. Anche con l’adozione di una
protezione semplice costituita da una parola chiave.
Reato di pericolo
Il pericolo è rappresentato dal rischio che chi accede abusivamente al sistema
possa impadronirsi o comunque visionare quanto custodito al suo interno.
Si consuma con il semplice accesso al sistema e non con l’utilizzo delle
informazioni o disturbando il regolare funzionamento del sistema
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
17. Domicilio informatico
Bene tutelato
Riservatezza delle comunicazioni o delle informazioni trasmesse tramite sistemi
informatici.
Domicilio informatico
Non può considerarsi una mera specificazione del domicilio tutelato dall’art. 614
c.p., ma deve essere inteso quale proiezione spaziale della persona indicante un
nuovo bene protetto.
“Riservatezza informatica”
Indisturbata fruizione del sistema informatico o telematico.
(Tribunale di Rovereto sent. 9 gennaio 2004)
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
18. Giurisprudenza
Il reato di accesso abusivo ad un sistema informatico sussiste ogni
volta che vengono sorpassati gli ostacoli che presiedono l’accesso
al sistema.
Non presupponendo necessariamente che il reo sia in grado di poter
richiamare e disporre dei dati e dei programmi contenuti nel
computer violato.
(Tribunale di Bologna Sent. 22/12/2005)
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
19. Giurisprudenza
Ai fini della configurabilità del reato la violazione dei dispositivi di sicurezza non
rileva di per sè, ma solo come manifestazione di una volontà contraria a quella di
chi dispone del sistema. Ne consegue che commette il delitto di cui all'art. 615 ter
c.p. anche colui che, autorizzato all'accesso per una finalità (controllo della
funzionalità del programma informatico), utilizzi il titolo di legittimazione per
copiare i dati gestiti da detto programma.
(Cass. Pen. sez. V, 14 ottobre 2003, n. 44362)
Non costituisce accesso abusivo ai sensi dell’art. 615 ter c.p. la condotta del
dipendente, autorizzato all’uso del sistema informatico, che consulta dati relativi
ad un settore diverso da quello di sua competenza in assenza di un divieto
espresso di accedere a quel determinato settore e in assenza di finalità personale o
di terzi estranee all’ente di appartenenza.
(Tribunale di Viterbo, sent. del 5 luglio 2005)
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
20. Fattispecie del reato
2 orientamenti giurisprudenziali:
Accesso lecito del soggetto abilitato effettuato per finalità diverse a
quelle dell'ufficio e perfino illecite.
Accesso illecito anche chi, autorizzato all'accesso per una
determinata finalità, utilizzi il titolo di legittimazione per una
finalità diversa.
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
21. Fattispecie del reato
Nuovo orientamento giurisprudenziale
Valutazione non delle finalità ma del dato oggettivo
(Cass. S.U. n. 4694/12 del 27 ottobre 2011)
La questione non può essere riguardata sotto il profilo delle
finalità perseguite da colui che accede o si mantiene nel sistema,
in quanto la volontà del titolare del diritto di escluderlo si
connette soltanto al dato oggettivo della permanenza dell'agente
nel sistema informatico.
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
22. Fattispecie del reato
Nuovo orientamento giurisprudenziale
Profilo oggettivo dell'accesso e del trattenimento nel sistema informatico si
riscontra:
• sia quando violi i limiti risultanti dal complesso delle prescrizioni impartite dal
titolare del sistema;
• sia quando ponga in essere operazioni ontologicamente diverse da quelle di cui
è incaricato ed in relazione alle quali l'accesso era consentito.
Il dissenso del dominus ioci viene desunto dalla oggettiva violazione delle
disposizioni del titolare in ordine all'uso del sistema.
((Cassazione Pen. n° 15054 del 18.04.2012)
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
23. Frode informatica (art. 640 ter c.p.)
“chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o
intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un
sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con
altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032. La
pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1549 se ricorre una delle
circostanze previste dal n.1 del secondo comma dell’art. 640 ovvero se il fatto è commesso con abuso
della qualità di operatore del sistema. […]
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
24. Frode informatica (art. 640 ter c.p.) - Fattispecie
del reato
La norma individua due precise condotte criminose (Cass. Pen. 24 febbraio 2011,
n. 9891):
1.Alterazione (sia hardware che software) del funzionamento di un sistema
informatico/telematico;
2.L’intervento senza diritto in qualunque modo su dati, informazioni o programmi
contenuti in un sistema informatico/telematico , procura a sé o ad altri un
ingiusto profitto con danno altrui.
Tali condotte devono procurare a se o ad altri un ingiusto profitto con danno altri
(a differenza dei Delitti di danneggiamento informatico (artt. 635 bis - ter quater - quinquies c.p.)
Il reato si consuma nel momento in cui l’agente consegue l’ingiusto profitto con
correlativo danno patrimoniale altrui (Cass. pen. 3065/1999)
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
25. Frode informatica (art. 640 ter c.p.) - Modalità
operative
Le modalità operative della condotta in esame possono essere differenti interventi criminosi:
•intervento sui dati inseriti nel computer.
I dati potrebbero essere manipolati dal soggetto attivo (alterazione o immissione abusiva). In
questo caso esiste concorso di reato con l’art. 491bis (delitto di falso informatico);
•intervento sul programma operativo del sistema.
Il <<software>> viene alterato affinché il computer (o il sistema) operi in modo differente da
come è stata progettata al fine di compiere illeciti (frodi);
•intervento sulle informazioni, ovvero sulla correlazioni fra i dati contenuti in un elaboratore
o in un sistema.
La detenzione delle password, che consente l'accesso al sistema informatico senza
manometterlo, non determinano "il diritto" di modificare i dati presenti (es. la posizione
contributiva dei contribuenti effettuando degli sgravi non dovuti e non giustificati dalle
evidenze in possesso dell'Agenzia delle Entrate) (Cass. Pen. n° 13475 del 22.03.2013)
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
26. Danneggiamento di informazioni, dati e
programmi informatici (artt. 635 bis e ter)
Chiunque distrugge, deteriora, cancella, altera o sopprime informazioni, dati o programmi
informatici altrui è punito, a querela della persona offesa, con la reclusione da sei mesi a tre
anni. (Art. 635 BIS)
Se utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica
utilità, è punito con la reclusione da uno a quattro anni. (Art. 635 TER)
Si prevede come aggravante se il fatto è commesso con abuso della qualità di operatore del
sistema.
Il delitto di danneggiamento tutela il diritto all’integrità delle cose mobili e immobili altrui,
nella struttura o nella loro utilizzabilità, dalle aggressioni che ne determinano la distruzione, la
dispersione, il deterioramento o l’inservibilità.
Nell’intento di reprimere la violenza informatica sono state, altresì, introdotte quattro peculiari
fattispecie criminose che puniscono le condotte di danneggiamento lesive di informazioni, dati
e programmi informatici, nonché di sistemi informatici o telematici.
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali
27. Giurisprudenza
Sussiste il reato di danneggiamento informatico anche quando i file cancellati
possono essere recuperati.
La locuzione 'cancellazione' deve essere interpretata - dice la Cassazione nella accezione informatica e non semantica del termine, ossia come la
"rimozione da un certo ambiente di determinati dati, in via provvisoria
attraverso il loro spostamento nell'apposito cestino o in via 'definitiva'
mediante il successivo svuotamento dello stesso".
Del tutto irrilevante, ai fini della sussistenza del reato, il fatto che i files
cancellati possano essere recuperati ex post attraverso una specifica
procedura tecnico-informatica.
Cass., Sez. V, 18 novembre 2011
Pasquale Lopriore
Responsabile del Sistema di protezione dei
dati personali